作为站长,网站的安全有多重要应该都清楚的吧,可是网上还是有那么多的网站不堪一击。。。
网站的话,如果用access数据库,一定得把数据库地址搞复杂点。。。
后台,也一样,不能让别人猜到。。。记得有牛人说过“能找到后台的网站,要么很安全,要么很不安全”
为了安全起见,修改后台目录是很必要的。。。
调用数据库,很常见的漏洞就是sql注入了,现在网上有很多菜鸟工具来利用这个漏洞,很多菜鸟黑客也能轻松入侵几个网站了。。。
网上很多网站系统都有注入,尤其是一些小型企业站的系统。。。不过好多都用了通用防注入程序,但是通用防注入,防不住cookies注入,所以我们要升级通用防注入程序了。。。网上有很多防注入的程序。。。这里我也送大家一个,是网上下载来的,怎么用?直接调用这个文件就行了。。。像调用数据库连接文件那样。。。哪个文件调用?可以是有注入漏洞的那个程序,也可以是...自己想。。。
还有一个严重的问题就是跨站,尤其是XSS盗取cookies,别小看这个,在国内这个问题很严重。。。我也不多说了,而且很多大型的程序如DZ也会时不时的爆出跨站漏洞。。。
很多站长都有自己的服务器,服务器安全也是很关注的吧。有一种入侵技术叫做旁注,就是说从你的服务器上的另一个网站入手,来拿下你的网站的权限。。。这种事都发生在服务器安全不好的时候。。。
虚拟主机的安全设置都很不错,每个网站都有独立的windows低权限用户,咱们也可以这样设置:
C,D,E...盘的根目录只保留system和administrators完全控制,C盘一些地方用附件的批处理设置。。。
比如我的网站[url]http://www.qdtrip.net/[/url]放在D:\wwwroot\qdtrip\web\文件夹下,我们新建一个用户qdtrip,添加进guests组,删除默认的users组。
然后在D:\wwwroot\qdtrip这个目录上右键,属性,保留system和administrators组的完全控制权限,然后再添加qdtrip这个用户的完全控制权限。。。
然后在IIS中设置匿名访问用户为hengheren,就这样,简单的安全设置就好了
wscript.shell这个组件没用,可以弄掉。。。具体看附件的txt文件。。。还有服务器的安全设置,参考附件内的bat文件,亦可直接在服务器上运行。。。
03服务器以前有个ODAY,用那个叫做“巴西烤肉”的黑软可以通过guest权限把自己提升为system权限,奇怪的是有些打了全部补丁的机器还是有这个漏洞,我也不知道为什么。。。不过很少,不用担心。。。
服务器上不要安装不安全的远程软件如pcanywhere和radmin,如果非要安装的话,权限设置的好一点。。。其实3389远程桌面的功能已经非常强大了。。。
Serv-U也害人不浅,本地管理密码记得修改得复杂一点。。。切记,不然你的网站沦陷,你的服务器也幸免于难了。。。 |
|
|
|
本文出自:亿恩科技【www.enkj.com】
服务器租用/服务器托管中国五强!虚拟主机域名注册顶级提供商!15年品质保障!--亿恩科技[ENKJ.COM]
|
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
